The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от opennews (ok) on 15-Янв-14, 15:03 
Компания Oracle представила (https://blogs.oracle.com/java/entry/java_se_7_update_51) плановый корректирующий выпуск Java SE 7 Update 51 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) (номер версии присвоен в соответствии с новой схемой (http://www.opennet.me/opennews/art.shtml?num=36938) нумерации выпусков), в котором устранено 36 проблем (http://www.oracle.com/technetwork/topics/security/cpujan2014...) с безопасностью, а также внесена порция улучшений, направленных на увеличение безопасности.

34 уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. 5 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 3 проблемы затрагивают не только клиентские, но и серверные системы. При этом одна уявзимость в серверной версии Java отмечена как критическая, так как она позволяет инициировать передачу данных через API без выполнения изолированного приложения Java Web Start или Java апплета.


Из добавленных в Java SE 7 Update 51 улучшений (http://www.oracle.com/technetwork/java/javase/7u51-relnotes-...) можно отметить ужесточение (https://blogs.oracle.com/java-platform-group/entry/new_secur...) применяемых по умолчанию требований к апплетам и приложениям Web Start, выполняемым в браузере. Для выполнения подобных приложений теперь обязательно требуется валидная цифровая подпись и наличие атрибута "Permissions" в файле с манифестом. Все самоподписанные и неподписанные Java-апплеты теперь будут блокироваться в установленном по умолчанию режиме высокой безопасности.


В режиме средней безопасности для подобных программ будет выводится специальное предупреждение. При желании пользователь может вручную добавить определённые сайты, содержащие апплеты, не удовлетворяющие новым требованиям, в специальный список исключений.  Кроме того, изменены применяемые по умолчанию права доступа к сетевым сокетам: если раньше приложения могли осуществить привязку к сокетам с номером порта выше 1024, то теперь доступны только порты верхнего диапазона (обычно 49152-65535), для присоединения к остальным портам требуется явное разрешение доступа.

Кроме проблем в Java, наличие уязвимостей обнародовано (https://blogs.oracle.com/security/entry/january_2014_critica...) и в других продуктах Oracle, в том числе сообщается о 5 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpujan2014...) в VirtualBox и 18 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpujan2014...) в MySQL. Уязвимости в VirtualBox отмечены как некритичные. В MySQL лишь одной уязвимости присвоен максимальный уровень опасности, при этом данная уязвимость специфична для MySQL Enterprise Monitor. Три уязвимости позволяют инициировать крах СУБД при неаутентифицированном удалённом доступе к серверу, но данные проблемы отмечены как маловероятные из-за большой сложности эксплуатации. Остальные уязвимости требуют аутентифицированного доступа к СУБД и приводят к возможности осуществления отказа в обслуживании. Все уязвимости уже молча исправлены в ранее опубликованных обновлениях MySQL и VirtualBox.


URL: https://blogs.oracle.com/java/entry/java_se_7_update_51
Новость: http://www.opennet.me/opennews/art.shtml?num=38864

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +11 +/
Сообщение от A.Stahl (ok) on 15-Янв-14, 15:03 
Я новости про баги в Жаве уже воспринимаю как новости про Wine: выходят регулярно и ничего интересного не содержат.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +13 +/
Сообщение от Аноним (??) on 15-Янв-14, 15:40 
Это потому что вы не пишете вредоносное ПО.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от Аноним (??) on 15-Янв-14, 15:47 
Тем не менее заглянул в комментарии через полчаса.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +3 +/
Сообщение от A.Stahl (ok) on 15-Янв-14, 15:56 
Ха! Новость-то может и "не содержит", а комментарии могут очень даже "содержать".
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

5. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от ram_scan on 15-Янв-14, 15:43 
Про жабу - это просто праздник какой-то... У меня стойкое очучение что каждый раз уязвимости находят в "порции улучшений направленных на увеличение безопасности".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от Аноним (??) on 15-Янв-14, 15:50 
> требуют аутентифицированного доступа к СУБД

Все, что требует авторизованного доступа, есть не баг, а фича. Так-то.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  –1 +/
Сообщение от Аноним (??) on 15-Янв-14, 15:51 
> молча исправлены

Аноним считает, что эо - единственно верны

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от Аноним (??) on 16-Янв-14, 06:59 
Да. Зачем шуметь? Исправил, разослал исправления (можно даже без указаний, что именно исправлено) и достаточно. Ну если, конечно, не стоит цель попиариться лишний раз по любому поводу да дать пищу для холиваров на форумах.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  –1 +/
Сообщение от SergMarkov email(ok) on 15-Янв-14, 19:32 
Нормальная новость для нормальных профи. :-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +5 +/
Сообщение от Andrey Mitrofanov on 15-Янв-14, 21:58 
> Нормальная новость для нормальных профи. :-)

Соплежуйский подхалимаж в ентерпрайсной новости.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  –1 +/
Сообщение от SergMarkov email(ok) on 16-Янв-14, 03:52 
>> Нормальная новость для нормальных профи. :-)
> Соплежуйский подхалимаж в ентерпрайсной новости.

В него берут только лучших, остальные пишут "лутший аудиоплеер" на гвидобейсике и клянут Ънтерпрайз, потому что  в нем не оценили их "гениальность" .. :-)


Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

24. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +3 +/
Сообщение от Andrey Mitrofanov on 16-Янв-14, 10:53 
>> Соплежуйский подхалимаж в
> В него берут только лучших,

Ты лучший, без вопросов.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

17. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от Аноним (??) on 15-Янв-14, 23:22 
А как нужно подписывать приложение, если самоподписанное будет блокироваться?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от Guest (??) on 16-Янв-14, 02:11 
Сертификатом полученным в  авторизированном центре.
http://habrahabr.ru/post/201210/
Если по аналогии как для сайтов, то есть даже и бесплатно выдающие, но нужно оплатить установление личности.

Эксперты говорят что аплёты вытесняются сервер летами, так что стоит думать о переносе кода аплёта на серверную сторону.
Интересно, как бы YouTrack перенесли.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от ram_scan on 16-Янв-14, 05:10 
> Эксперты говорят что аплёты вытесняются сервер летами, так что стоит думать о переносе кода аплёта на серверную сторону.

А зачем тогда жаба нужна ?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

25. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от Василий (??) on 16-Янв-14, 11:15 
А что нужно?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от Guest (??) on 16-Янв-14, 23:15 
Мало ли ещё есть станд-алон приложений - JDownloader, Eclipse.
Не обязательно быть Java разработчиком что б всё ещё ставить её.
А так в свете популярности Android разработчикам приложений под последний она ещё нужна.

Некоторые банки всё ещё используют аплёты, некоторые даже не подписывают. О чём и предупреждают "в связи с обновлением JVM возможны проблемы с Интернет банкингом".

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

18. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от Аноним (??) on 16-Янв-14, 01:12 
Покупать сертификат разработчика либо добавлять в сайт лист ( в на стройках жавы)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от Аноним (??) on 16-Янв-14, 06:57 
> Для выполнения подобных приложений теперь обязательно требуется валидная цифровая подпись и наличие атрибута "Permissions" в файле с манифестом. Все самоподписанные и неподписанные Java-апплеты теперь будут блокироваться в установленном по умолчанию режиме высокой безопасности. В режиме средней безопасности для подобных программ будет выводится специальное предупреждение.

Вроде и сейчас то же самое делается. Нет?

> Покупать сертификат разработчика

Методика Apple Store. Нет?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от Аноним (??) on 16-Янв-14, 17:05 
Сливают Java
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от Guest (??) on 16-Янв-14, 23:17 
Вряд ли http://www.opennet.me/opennews/art.shtml?num=38848
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

26. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от Аноним (??) on 16-Янв-14, 17:01 
> Все самоподписанные и неподписанные Java-апплеты теперь будут блокироваться в установленном по умолчанию режиме высокой безопасности.

Вот это глупость. Переписывать все серверы - бред. Но с такими серверами клиентская часть в режиме безопасности выше Medium работать не будет.

Решение проблемы указано тут же. А именно

> В режиме средней безопасности для подобных программ будет выводится специальное предупреждение.

Ну и к чему подобное нововведение приведет? К тому, что будет выставляться минимальный (Medium) уровень безопасности. Между безопасностью и работоспособностью выбор будет за вторым. Короче, неумное решение.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  –1 +/
Сообщение от Guest (??) on 16-Янв-14, 23:20 
Так же говорили про UAC в Vista, но всё же прижился. Особо говорить про тотальные рекомендации выставить минимальный уровень безопасности в современных версиях Windows не приходится.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от ffirefox on 17-Янв-14, 01:11 
Выставить минимальный уровень требуют очень многие банковские софтины и почти всё, что взаимодействует с государственными службами. Но надо отметить, что софта, написанного с учетом UAC все больше.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

34. "Обновление Java SE 7 Update 51 и других продуктов Oracle с у..."  +/
Сообщение от Аноним (??) on 17-Янв-14, 08:51 
> Так же говорили про UAC в Vista, но всё же прижился. Особо
> говорить про тотальные рекомендации выставить минимальный уровень безопасности в современных
> версиях Windows не приходится.

Считаю, что обновления не должны ломать логики работы программ, тем более созданных с использованием исключительно их документированных возможностей. Производитель обязан искать иное решение проблемы безопасности.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру